Databehandling til å stole på

Databehandling til å stole på

IPv6, IpSec-kryptering og id-administrasjon med Cardspace er blitt hjørnesteiner i Microsofts sikkerhetsinitativ Trustworthy Computing.

Trustworthy Computing runder fem år. Windows Vista, Windows Server " Longhorn" og Office 2007 er blant produktene som skal vise hva som er oppnådd etter at Bill Gates i 2002 slo fast at Microsoft altfor lenge hadde hatt et for lemfeldig forhold til sikkerhet.

Fra å være et initativ for å rette opp dårlig og usikker kode, er Trustworthy Computing blitt et konsept som gjennomsyrer alt utviklingsarbeid i Microsoft. Nå er målet at Trustworthy Computing skal påvirke utviklere også utenfor Microsoft.

LES OGSÅ: Eksplosjon av id-tyveri

- Selv om vi gjør så godt vi kan, vil de slemme gå et annet sted. Derfor må vi påvirke hele økosystemet, sier Doug Cavit, sjefsstrateg for Trustworthy Computing i Microsoft.

Ett passord

Under et kort Norgesbesøk kunne Cavit fortelle at Microsofts egne utviklere i starten var lite motiverte for å ta i bruk rutinene som sørger for at koden blir sikrere. Det tok lang tid å endre kulturen i utviklingsavdelingene. Men etterhvert som resultatene kom og utviklerne skjønte at de nye Security Development Lifecycle-prosessene (SDL) virkelig fører til sikrere programvare, gikk det sport i ta i bruk de nye konseptene.

SDL innebærer blant annet at hver enkel utviklingsgruppe er ansvarlig for sikkerheten til koden som skrives. Sikkerhet skal være et sentralt design-kriterium helt fra starten, og ikke noe som legges på i ettertid. For å få med flest mulig med på denne tankegangen, lar Microsoft andre selskaper få gratis tilgang til SDL-metodikken.

Ifølge Doug Cavit er gode løsninger for id-administrasjon helt kritisk for at Trustworthy Computing skal fungere i praksis. Mange og svake passord bidrar til dårlig tilgangskontroll. Derfor investerer Microsoft mye i løsninger for Smartkort og fingeravtrykkslesere. Og i sin tale på RSA-konferansen i San Francisco i vinter løftet Bill Gates " Cardspace" fram som en sentral byggestein i Trustworthy Computing.

Cardspace, som inngår i Vista, er en applikasjon som gjør at brukeren ikke trenger å ha flere identiteter med flere passord. På serversiden har Microsoft utviklet Security Token Service (STS). Ifølge Cavit har Microsoft nå skjønt at brukerne selv må bestemme hvordan informasjonen skal brukes.

- Cardspace bygger på de fire pilarene i Trustworthy Computing: Sikkerhet, skjerming av privat informasjon og produkter som er til å stole på, samt hederlig forretningsførsel, understreker sikkerhetsstrategen.

En av styrkene til Cardspace er at mange id-løsninger støttes, uten at Microsoft sitter på alle opplysningene om brukerne. Det var et problem da Microsoft forsøkte å lansere Passport for noen år siden.

Kryptering

I tillegg til Cardspace er IPv6-støtten i Vista og Longhorn noe av det Gates og de andre Microsoft-toppene gjerne trekker fram når fruktene av Trustworthy Computing skal beskrives. IPv6, som altså er den lenge etterlengtede etterfølgeren til dagens internettprotokoll IPv4, gjør det nemlig enklere å bruke IpSec-kryptering.

LES OGSÅ: Hvordan sikre seg mot utro tjenere?

Microsoft arbeider for at all trafikk, både internt i bedrifter og over internett, skal krypteres med IpSec. I dag brukes IpSec først og fremst for å lage virtuelle private nett mellom avdelingskontorer.

- IpSec er ikke bare krypering, men en tilrettelegger som blant annet gjør det mulig å dele opp ressursene i egnede segmenter, sier Cavit.

Mange bedrifter har de siste årene tatt i bruk SSL (Secure Sockets Layer) for å lage sikre tunneler. Men til tross for at Microsoft kjøpte SSL-selskapet Whale i fjor, tror Cavit at IpSec kommer til å bli den mest brukte protokollen.

- Whale-kjøpet gjør av vi får innblikk i VPN-teknologien. IpSec kommer til å overta for SSL på mange områder, sier strategen som tidligere blant annet har vært it-direktør i sikkerhetsselskapet McAfee.

Troen på IpSec forhindrer ikke at Microsoft fortsatt støtter Extended Validation SSL (EV-SSL), et system som gjør at kjeltringer ikke kan etablere nettsteder som ser sikre ut.

- Https kan brukes sammen med IpSec, understreker Doug Cavit.

Les om:

Sikkerhet